在保密你的伺服器和數據,防備當前複雜的攻擊,SQL Server有你需要的一切。但在你能有效使用這些安全功能前,你需要理解你面對的威脅和一些基本的安全概念。這篇文章提供了基礎,因此你可以對SQL Server里的安全功能充分利用,不用在面對特定威脅,不能保護你數據的功能上浪費時間。 從讓人眼花繚亂的 ...
在保密你的伺服器和數據,防備當前複雜的攻擊,SQL Server有你需要的一切。但在你能有效使用這些安全功能前,你需要理解你面對的威脅和一些基本的安全概念。這篇文章提供了基礎,因此你可以對SQL Server里的安全功能充分利用,不用在面對特定威脅,不能保護你數據的功能上浪費時間。
從讓人眼花繚亂的客戶端使用連接,通過到處分佈的網路,尤其是互聯網,關係資料庫在各種應用程式里廣泛使用。這使數據對任何人,在任何地方都可訪問。資料庫可以保存人類知識的很大部分,包括高度敏感的個人信息和讓國際商務工作的關鍵數據。
對於想要偷取數據或通過篡改數據來傷害數據的擁有者的 人來說,這些功能使資料庫成為有吸引力的目標。確保你的數據安全是SQL Server配置和使用它來保存數據的程式的重要部分。這個系列會探尋SQL Server 2012安全的基本,這樣的話你可以保護你的數據和伺服器資源,按你需要的安全等級來保護數據,免受這些威脅對你數據的影響。大部分信息對SQL Server的早期版本也適用,回到SQL Server 2005也可以,因為那是微軟在產品里徹底檢查安全的時候。但我也會談論只在SQL Server 2012和後續版本里才有的功能。
如果攻擊者能拿到包含資料庫的磁碟文件的訪問,即使做好防護的數據還是容易受到攻擊。單元格級別的加密可以保護部分數據,但應付這列攻擊的完整保護是必須加密文件而不是數據。這就是透明數據加密(Transparent Data Encryption (TDE))要做的,在這篇文章里你會學到TDE做什麼,如何工作,還有如何使用它來保護你的資料庫文件。
透明數據加密(Transparent Data Encryption (TDE))
在SQL Server 2008,微軟引入了透明數據加密(Transparent Data Encryption (TDE))。TDE可以在文件層對數據和日誌文件進行實時加密和解密。不需要特定的編程,儘管有支持的T-SQL管理TDE,在這篇文章里稍後你就會看到。這讓TDE很容易配置和維護,儘管當的複製和移動資料庫到不同位置和SQL Server實例時需要更多工作。
TDE在寫入資料庫就加密數據,然後在讀取的時候解密數據,一旦你在資料庫啟用TDE就會自動處理。TDE的目的是在資料庫和日誌里,保護休息時的資料庫,保持它的安全,遠離直接從文件直接訪問數據的攻擊者。有個特定的場景對此非常有用,當你需要通過一夜包裹投遞服務來運輸你的資料庫文件,例如FedEx或UPS。沒有TDE,攻擊者可以從運輸卡車後面偷取你的包裹,附加資料庫到他有sysadmin許可權的SQL Server實例,拿到數據訪問。但如果在資料庫上啟用了TDE,整個數據被安全加密了;沒有密匙的話,就不能訪問到數據。其它TDE也很有用的場景是擔心例如內部的攻擊者,可以用任何方式獲得物理文件的訪問,或者你需要保持歸檔資料庫副本的安全。
TDE如何工作
TDE需要證書來訪問物理資料庫文件。沒有證書來加密資料庫,數據只是無法使用的,加密的一堆胡言亂語。這就是說不能在資料庫附近的任何地方放置證書的備份,這個非常重要——例如在用來運輸資料庫文件的同個FedEx包裹里!不然的話,攻擊者有他想要的一切東西。他需要做的只是在他控制的SQL Server實例上安全證書,用它來附加資料庫,給她解密數據的完全訪問。
TDE加密所有寫入資料庫的數據,理解這個非常重要。然後它解密需要的數據來響應查詢。因此只有當數據在休息的時候,存儲在資料庫里,它才受TDE保護。TDE在讀寫數據的時候會在8K的頁裡加密或解密數據。
如果SQL Server實例的任何資料庫,即使幾十個中的一個資料庫附加到實例,受TDE保護的,那麼SQL Server自動用TDE保護tempdb。即使受TDE保護的資料庫不使用tempdb。這樣做是有道理的,因為從受保護的一些數據會自動存儲在tempdb。數據會在休息——即使很短的時間——因此完整保護tempdb同樣需要使用TDE保護。這樣會帶來性能上的問題。所有的數據在tempdb裡加密保存,在實例里所有的其它未受TDE保護的資料庫,有任何數據存儲在tempdb的話也會被加密。因此這些資料庫的性能也會受到影響。
要配置TDE,你需要有創建資料庫主密匙,在mater數據里創建一個證書,在用戶資料庫上有CONTROL許可來啟用TDE。大多數時間,sysadmin可以在資料庫上啟用TDE,因此需要的許可不是問題。
TDE的局限性
為了高效使用TDE,你應該理解TDE做什麼和它有什麼好和不好的地方。考慮下TDE的這些限制:
- 在資料庫里你不能加密一部分數據;要麼全部加密,要麼都不加密。
- TDE不是通過資料庫引擎限制數據訪問的方法。數據訪問不受TDE改變。如果你有一個用戶運行的程式,用戶和應用程式有訪問資料庫里數據的許可。TDE不會修改數據訪問方法。它只是保護資料庫文件。
- TDE不是保護你伺服器、資料庫實例或資料庫里各個敏感數據的替代品,你還是要認真考慮,在各層使用安全措施保護你的資料庫。TDE只是設計用來保護特定攻擊(在數據或日誌文件里休息時的數據)的一層保護。
- TDE一個最大的缺點之一是FILESTREAM數據不會加密。這個數據位元組流存儲在SQL Server之外,但受SQL Server管理和監控。
- TDE僅在SQL Server的企業版和開發版可用。很遺憾,這讓不使用這2個版本的用戶不能受TDE的保護。
如你所見,這些限制沒有TDE作什麼用的限制多,這表示它不能作為安全的靈丹妙藥那麼有用。但是如果對你數據的威脅對應於它提供的保護,TDE會是重要的安全功能。
TDE性能
但你看TDE時,有一個你要考慮的問題是性能。考慮到需要的處理周期,加密是個昂貴的操作。TDE表現還是相當不錯的,因為TDE不在SQL 緩存裡加密數據。只有當它寫入磁碟時才加密數據。因此如果它不在緩存的話,每次你訪問數據的時候也不需要加密,這提高了全局的效率。在資料庫里,微軟花了大量的時間讓加密儘可能的高效。但當數據被讀寫時,還是會帶來一定的性能問題,因為加密要用到複雜的演算法。
使用TDE
現在我們通過實例來演示下你如何使用TDE,還有它在資料庫上的作用。下列代碼顯示了備份AdventureWorks2012資料庫,然後還原了一個新的資料庫AdventureWorks2012Copy。你可以按照自己的實際情況修改文件路徑,例如文件備份路徑,C:\Data文件夾用來備份證書。
1 -- *** Beginning of setup code *** 2 -- ******************************* 3 4 -- Make a copy of AdventureWorks2012 database 5 -- Change the path to the appropriate backup directory 6 BACKUP DATABASE AdventureWorks2012 7 TO DISK = N'D:\SQLBackups\AdventureWorks2012.bak' 8 WITH NOFORMAT, INIT, NAME = N'AdventureWorks2012 Full Database Backup', 9 SKIP, NOREWIND, NOUNLOAD, STATS = 10; 10 GO 11 12 RESTORE DATABASE AdventureWorks2012Copy 13 FROM DISK = N'D:\SQLBackups\AdventureWorks2012.bak' 14 WITH 15 FILE = 1, NOUNLOAD, REPLACE, STATS = 10, 16 MOVE 'AdventureWorks2012_Data' TO N'D:\SQLData\AdventureWorks2012Copy.mdf', 17 MOVE 'AdventureWorks2012_Log' TO N'D:\SQLData\AdventureWorks2012Copy.ldf'; 18 GO 19 20 -- *** End of setup code *** 21 -- *************************
一旦你進行了下列配置步驟,代碼進行了4個步驟為資料庫啟用TDE:
- 在master資料庫里創建主密匙。
- 創建/使用受主密匙保護的證書。
- 創建受證書保護的資料庫加密密匙。
- 為資料庫啟用TDE。
代碼9.1展示了在master資料庫里創建證書需要的代碼,在資料庫里它用來保護資料庫加密密匙。它創建資料庫主密匙,使用強密碼保護它,然後創建AdventureWorks2012TDECert證書。作為預防,代碼然後備份證書到D:\Data目錄。你應該在穩妥可靠的地方存儲它,在你移動受TDE保護的資料庫的時候就可以用到它。
1 USE master; 2 GO 3 4 -- TDE hooks into encryption key hierarchy in SQL Server 5 CREATE MASTER KEY ENCRYPTION BY PASSWORD = '!drJP9QXC&Vi%cs'; 6 GO 7 8 -- Create the certificate used to protect the database encryption key 9 CREATE CERTIFICATE AdventureWorks2012TDECert WITH SUBJECT = 'Certificate to implement TDE on AdventureWorks2012Copy'; 10 GO 11 12 -- Backup the certificate 13 -- Either create the C:\Data folder or change it in the code below 14 BACKUP CERTIFICATE AdventureWorks2012TDECert TO FILE = 'D:\Data\AdventureWorks2012TDECert' 15 WITH PRIVATE KEY ( FILE = 'D:\Data\AdventureWorks2012TDECertPrivateKey' , 16 ENCRYPTION BY PASSWORD = 'RISiS9Ul%CByEk6' ); 17 GO
代碼9.1:創建並備份用來保護TDE資料庫的證書
在進一步使用TDE之前,運行代碼9.2,這個列出的代碼在SQL Server的當前實例裡加密資料庫,連同它們的加密狀態,如果有的話。在新的,剛安裝的SQL Server,這應該返回一個空的結果。接下來,在實施TDE後,你會看到狀態如何改變。
1 SELECT DB_NAME(database_id) AS DatabaseName, 2 key_algorithm AS [Algorithm], 3 key_length AS KeyLength, 4 CASE encryption_state 5 WHEN 0 THEN 'No database encryption key present, no encryption' 6 WHEN 1 THEN 'Unencrypted' 7 WHEN 2 THEN 'Encryption in progress' 8 WHEN 3 THEN 'Encrypted' 9 WHEN 4 THEN 'Key change in progress' 10 WHEN 5 THEN 'Decryption in progress' 11 END AS EncryptionStateDesc, 12 percent_complete AS PercentComplete 13 FROM sys.dm_database_encryption_keys; 14 GO
代碼9.2 在SQL Server實例里列出加密資料庫的狀態
現在是時候對AdventureWorks2012Copy資料庫啟用TDE。執行代碼9.3,它開始使用你剛纔在master資料庫里創建的證書創建資料庫加密密匙。你會收到一條警告信息:如果你還沒備份證書的話,請備份;請留意這個建議!然後代碼使用SET ENCRYPTION ON子句的ALTER DATABASE語句為資料庫啟用TDE。取決於與資料庫的大小和伺服器的速度,完全加密資料庫需要一些時間,可能幾個小時或幾天。
1 USE AdventureWorks2012Copy; 2 GO 3 4 -- Create the database encryption key for TDE. Analogous to database master key for data encryption. 5 CREATE DATABASE ENCRYPTION KEY 6 WITH ALGORITHM = TRIPLE_DES_3KEY 7 ENCRYPTION BY SERVER CERTIFICATE AdventureWorks2012TDECert; 8 GO 9 -- Get a warning about backing up the key, if you haven't already 10 -- ...take the advice and back it up! 11 12 -- Now need to turn TDE on. 13 ALTER DATABASE AdventureWorks2012Copy SET ENCRYPTION ON;
代碼9.3:創建資料庫加密密匙並啟用TDE
當在加密資料庫的時候,可以反覆執行代碼9.2來跟蹤下進度。你會看到如插圖9.1的結果,我在截屏的時候,已經100%完成了。註意插圖顯示了2個資料庫:現在在實例里至少有一個資料庫使用TDE,tempdb也會自動加密。一旦初始化加密完成,所有的資料庫PercentComplete列會顯示為0(是的,這個數字有點誤導,因為當它完成的時候不是100%這樣的顯示)。
插圖9.1:使用sys.dm_database_encryption_keys來監控資料庫加密進度的結果
註意在圖中AdventureWorks2012Copy資料庫使用了Triple DES加密演算法。那是我們在代碼9.1里指定的演算法,你可以用SQL Server支持的任何加密演算法選項。還有tempdb預設也使用256位AES加密演算法。
通過執行對資料庫的查詢測試加密,如代碼9.4所示。在打開TDE之前,只要你有必要的許可訪問資料庫,你就能訪問數據。這對任何應用程式的數據訪問也是如此。
1 SELECT TOP 500 * FROM Production.Product;
代碼9.4:在啟用TDE後測試資料庫訪問的樣本代碼。
如果你想為資料庫關閉TDE,你可以使用代碼9.5:
1 ALTER DATABASE AdventureWorks2012Copy 2 SET ENCRYPTION OFF; 3 GO
代碼9.5:為資料庫停用TDE
測試TDE
測試下安全功能確保它如你預計的正常工作總是明智的。樣本代碼包含測試TDE的一些步驟,包括你不小心刪除用來為TDE保護資料庫加密密匙的證書。代碼9.5備份AdventureWorks2012Copy資料庫,刪除AdventureWorks2012TDECert證書,模擬丟失證書。(這也模擬了當你附加加密資料庫到不同的SQL Server實例,它上面並沒有安裝原始的證書。)
1 BACKUP DATABASE AdventureWorks2012Copy 2 TO DISK = N'D:\SQLBackups\AdventureWorks2012Copy.bak' 3 WITH NOFORMAT, INIT, NAME = N'AdventureWorks2012Copy Full Database Backup', 4 SKIP, NOREWIND, NOUNLOAD, STATS = 10; 5 GO 6 7 USE master 8 GO 9 DROP DATABASE AdventureWorks2012Copy; 10 GO 11 12 -- Oops! We lost the certificate and don't have a copy! 13 -- Or, going to restore the database to another server instance 14 DROP CERTIFICATE AdventureWorks2012TDECert; 15 GO
代碼9.6:備份資料庫,刪除資料庫,扔掉了證書
接下來,嘗試使用代碼9.7還原資料庫,你會收到如插圖9.2的錯誤信息。這是TDE在起作用的保護:如果資料庫實例沒有安裝原始加密證書,是不可能還原或附加資料庫的。
1 RESTORE DATABASE AdventureWorks2012Copy 2 FROM DISK = N'D:\SQLBackups\AdventureWorks2012Copy.bak' 3 WITH 4 FILE = 1, NOUNLOAD, REPLACE, STATS = 10;
代碼9.7:嘗試還原受TDE保護的資料庫
插圖9.2:嘗試在沒有安裝保護證書的資料庫上還原資料庫
但如果你備份了證書,並沒有丟失全部!使用代碼9.8從備份文件里還原證書,使用文件里剛纔用來保護證書的密碼,然後嘗試還原資料庫。這次完全可用的資料庫——還是用TDE保護——已經成功還原。
1 -- Recover from the problem 2 -- Restore the certificate 3 CREATE CERTIFICATE AdventureWorks2012TDECert 4 FROM FILE = 'D:\DATA\AdventureWorks2012TDECert' 5 WITH PRIVATE KEY ( FILE = 'D:\DATA\AdventureWorks2012TDECertPrivateKey', 6 DECRYPTION BY PASSWORD = 'RISiS9Ul%CByEk6'); 7 8 -- Now try to restore the database 9 RESTORE DATABASE AdventureWorks2012Copy 10 FROM DISK = N'D:\SQLBackups\AdventureWorks2012Copy.bak' 11 WITH 12 FILE = 1, NOUNLOAD, REPLACE, STATS = 10;
代碼9.8:從備份文件還原刪除的證書,然後再次嘗試還原資料庫
TDE與列級別數據加密比較
通過在這篇和上一篇文章,你應該能很好的理解SQL Server提供的兩種主要加密方式,還有什麼時候使用它們。總結下與在列級別資料庫加密的主要不同:
- 加密更加顆粒化。你可以在單個資料庫里單個列加密。
- 加密的數據只有使用的時候才會解密。如果數據不使用,基本就不會被解密。
- 你需要修改表架構來適應加密的位元組流數據,修改應用程式來包含加密和解密代碼。
- 你不能簡單的搜索和排序加密數據,索引毫無用處。有一些變通方法,但它們沒有效率並暴露數據特征,攻擊者可以用來得到解決困難的方法。
通常,你會想為小量數據使用列級別數據加密來保護大多數敏感信息,在伺服器上節約處理周期。
這引出了一個問題:在SQL Server 2008和後續版本應該使用哪個加密方式?關鍵是要理解你要保護面對的威脅,但實施任何安全功能時,這個是關鍵。
如果威脅是竊取、資料庫和日誌文件的濫用,使用透明數據加密(Transparent Data Encryption)。TDE會阻止附加資料庫到另一個SQL Server實例和獲得數據訪問。
如果威脅是在你伺服器上的入侵數據,列級別加密沒準是更好的選擇。當黑客在資料庫伺服器上拿到訪問後,正確實施的列級別數據加密可以阻止數據訪問。
如果你兩者之間不能選擇,你可能需要同時面對兩種威脅。幸運的是,2個可以結合使用,各個會阻止它特定的威脅。
小結
透明數據加密(Transparent Data Encryption)進行數據和日誌文件的實時加密和解密。這個會在資料庫和日誌裡加密所有數據,阻止攻擊著從另一個SQL Server實例附加資料庫,獲得數據訪問。如果你需要防範的威脅是數據文件的濫用,TDE可以提供強的數據保護,不需要架構和程式改變。使用得當的話,它可以為整體深度防禦,提供強大的安全層。
原文鏈接
http://www.sqlservercentral.com/articles/Stairway+Series/125948/
